1 背景
隨著信息技術(shù)的飛速發(fā)展，對等網(wǎng)絡(luò)（Peer-to-Peer，簡稱P2P）、流媒體、互動(dòng)在線游戲和虛擬現(xiàn)實(shí)等新型網(wǎng)絡(luò)業(yè)務(wù)層出不窮。在這些新興業(yè)務(wù)中，P2P業(yè)務(wù)的流量占互聯(lián)網(wǎng)數(shù)據(jù)流量的50%-70%，再加上其他業(yè)務(wù)流量，極大地加重了網(wǎng)絡(luò)擁塞，影響了正常網(wǎng)絡(luò)業(yè)務(wù)的開展和關(guān)鍵應(yīng)用的普及。同時(shí)，P2P應(yīng)用的廣泛使用也給網(wǎng)絡(luò)管理帶來了極大的挑戰(zhàn)。
為了應(yīng)對新興業(yè)務(wù)帶來的帶寬負(fù)載，傳統(tǒng)的解決方案是通過簡單的網(wǎng)絡(luò)升級擴(kuò)容，其弊端也是顯而易見的：

● 帶寬管理方面：面對不斷增長的數(shù)據(jù)流量，需要不斷地增加網(wǎng)絡(luò)設(shè)備，增加硬件成本和運(yùn)維成本。

● 網(wǎng)絡(luò)運(yùn)維方面：缺乏有效的技術(shù)監(jiān)管手段，不能對新型業(yè)務(wù)數(shù)據(jù)進(jìn)行感知和識(shí)別。

● 網(wǎng)絡(luò)安全方面：傳統(tǒng)的網(wǎng)絡(luò)安全檢測只能對報(bào)文進(jìn)行四層檢測（IP+端口），攻擊者可以構(gòu)造報(bào)文（將攻擊信息插入到應(yīng)用層）來繞開檢測，從而達(dá)到攻擊目的。

因此，如何深度感知互聯(lián)網(wǎng)/移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)，提供應(yīng)用級管控手段，成為運(yùn)營商關(guān)注的焦點(diǎn)。為了解決這些問題，DPI技術(shù)應(yīng)運(yùn)而生。

2 DPI技術(shù)介紹

DPI（Deep Packet Inspection，深度報(bào)文檢測）是一種基于報(bào)文的應(yīng)用層信息對流量進(jìn)行檢測和控制的功能。普通報(bào)文檢測只能分析報(bào)文四層以下的內(nèi)容，如IP、端口、協(xié)議類型等。而DPI技術(shù)除了能對這些信息進(jìn)行分析外，還增加了對應(yīng)用層的分析，能夠識(shí)別各種應(yīng)用及其內(nèi)容。當(dāng)IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流通過支持DPI技術(shù)的設(shè)備時(shí)，設(shè)備會(huì)通過深入讀取報(bào)文載荷來進(jìn)行重組和分析，從而識(shí)別整個(gè)應(yīng)用程序的內(nèi)容，然后按照設(shè)備定義的管理策略對流量進(jìn)行后續(xù)處理。

正是由于其應(yīng)用識(shí)別的特性，DPI技術(shù)在應(yīng)用審計(jì)、應(yīng)用路由、IPS、流量管理等方面獲得廣泛的應(yīng)用，可以阻斷外部攻擊、審計(jì)用戶上網(wǎng)行為，極大地提高了網(wǎng)絡(luò)的安全性。

3 DPI工作原理

3.1   DPI檢測原理

不同類型的應(yīng)用通常依賴于不同的協(xié)議，而不同的協(xié)議都有其特殊的指紋，這些指紋可能是特定的端口、特定的字符串或Bit序列。這些指紋由專業(yè)的安全專家收集并整理，形成“特性庫”，當(dāng)DPI設(shè)備收到報(bào)文后，就會(huì)通過特征庫中的特征規(guī)則對報(bào)文載荷進(jìn)行匹配，最終識(shí)別出數(shù)據(jù)流所屬的應(yīng)用類型。

一個(gè)特征庫中可能有上千條特征規(guī)則，匹配報(bào)文時(shí)，為了能夠盡可能的提高報(bào)文匹配的效率，降低對報(bào)文轉(zhuǎn)發(fā)性能的影響。DPI技術(shù)提出了快速匹配方法，其原理如下：

(1)先進(jìn)行近似匹配：取出每條規(guī)則的最長特征串，進(jìn)行最長特征串的多模AC算法匹配。根據(jù)最長特征串找到可能匹配的候選規(guī)則。

(2)再進(jìn)行精確匹配：對候選規(guī)則進(jìn)行單模算法的字符串匹配或者正則表達(dá)式字符串匹配。

特征碼的距離固定，可以用特征庫載荷規(guī)則選項(xiàng)進(jìn)行精確特征描述，然后轉(zhuǎn)化為單模算法的字符串匹配進(jìn)行精確匹配。通常我們會(huì)采用改良的單模BM算法進(jìn)行匹配。

特征碼的距離不固定難以描述，可以用正則表達(dá)式文法描述，采用正則表達(dá)式算法進(jìn)行匹配。

3.2   DPI檢測流程

DPI深度檢測流程如下：

(1)設(shè)備加載特征庫文件。

(2) 當(dāng)設(shè)備收到報(bào)文后，在協(xié)議和端口的識(shí)別基礎(chǔ)上對報(bào)文載荷進(jìn)行解碼，然后通過特征庫中的特征規(guī)則對載荷進(jìn)行匹配，識(shí)別報(bào)文內(nèi)容。

(3)根據(jù)匹配結(jié)果處理報(bào)文：

匹配成功，將報(bào)文轉(zhuǎn)發(fā)給其他業(yè)務(wù)模塊（如IPS、應(yīng)用路由）進(jìn)行后續(xù)處理等。

匹配失敗，放行報(bào)文。

4 DPI技術(shù)優(yōu)勢

4.1   和傳統(tǒng)四層檢測比較

傳統(tǒng)的四層檢測只能識(shí)別報(bào)文二到四層的信息，如IP、端口號(hào)等。而DPI技術(shù)不僅能識(shí)別這些信息，還能識(shí)別應(yīng)用層信息，識(shí)別更精細(xì)、更準(zhǔn)確。

圖4-1    DPI深度檢測和傳統(tǒng)四層檢測對比

4.2   和DFI技術(shù)比較

與DPI進(jìn)行報(bào)文應(yīng)用層載荷的檢測不同，DFI采用的是一種基于流量行為的應(yīng)用識(shí)別技術(shù)。不同類型的應(yīng)用，其會(huì)話連接或數(shù)據(jù)流的狀態(tài)不同。例如，P2P下載應(yīng)用的流量模型的特點(diǎn)為平均包長都在450byte以上、下載時(shí)間長、連接速率高、首選傳輸層協(xié)議為TCP等。DFI技術(shù)正是基于這一系列流量的行為特征，通過機(jī)器學(xué)習(xí)算法建立流量特征模型，分析會(huì)話連接流的包長、連接速率、傳輸字節(jié)量、包與包之間的間隔等信息來與流量模型對比，從而鑒別應(yīng)用類型。

DFI與DPI兩種技術(shù)的基本目標(biāo)都是為了實(shí)現(xiàn)應(yīng)用識(shí)別，但是兩者在實(shí)現(xiàn)的著眼點(diǎn)和技術(shù)細(xì)節(jié)方面又有著較大的區(qū)別，具體如表4-1所示。

5 典型應(yīng)用

銳捷的防火墻和出口網(wǎng)關(guān)系列產(chǎn)品已經(jīng)全面支持DPI技術(shù)，本章以RG-EG3250多業(yè)務(wù)安全網(wǎng)關(guān)為例，介紹DPI技術(shù)在網(wǎng)吧場景中的使用及配置思路。

5.1   組網(wǎng)需求

網(wǎng)吧出口有1條光纖線路和多條ADSL線路，根據(jù)業(yè)務(wù)需求，要求關(guān)鍵應(yīng)用（如游戲、網(wǎng)頁瀏覽、即時(shí)通訊等）走光纖鏈路；抑制應(yīng)用（如在線影視、P2P下載等）走ADSL線路。視頻流媒體軟件和HTTP視頻流媒體類型等應(yīng)用在午夜時(shí)間不進(jìn)行抑制，可以走光纖線路。

圖5-1    網(wǎng)吧組網(wǎng)需求

5.2   配置思路

● 所有的P2P應(yīng)用軟件、在線影視等非關(guān)鍵應(yīng)用走ADSL線路，能夠在ADSL線路充分應(yīng)用帶寬。

● 設(shè)置光纖線路為缺省路由，確保關(guān)鍵應(yīng)用走光纖線路，網(wǎng)絡(luò)流暢。

● 當(dāng)出口帶寬不足時(shí)，Web業(yè)務(wù)可以走ADSL線路，減少光纖的使用，為關(guān)鍵業(yè)務(wù)減少帶寬。